Según el equipo de inteligencia de amenazas Mandiant de FireEye, el colectivo, conocido como FIN11, se ha involucrado en un patrón de campañas de ciberdelincuencia al menos desde 2016 que implica monetizar su acceso a las redes de las organizaciones, además de implementar malware en el punto de venta (POS). dirigido a los sectores financiero, minorista, restaurante y farmacéutico.
«Las recientes intrusiones de FIN11 han provocado con mayor frecuencia el robo de datos, la extorsión y la interrupción de las redes de las víctimas a través de la distribución del ransomware CLOP «, dijo Mandiant .
Aunque las actividades de FIN11 en el pasado se han relacionado con malware como FlawedAmmyy , FRIENDSPEAK y MIXLABEL, Mandiant observa una superposición significativa en los TTP con otro grupo de amenazas que los investigadores de ciberseguridad llaman TA505 , que está detrás del infame troyano bancario Dridex y el ransomware Locky que se entrega a través de campañas de malspam a través de la botnet Necurs.
Vale la pena señalar que Microsoft orquestó la eliminación de la botnet Necurs a principios de marzo en un intento de evitar que los operadores registren nuevos dominios para ejecutar más ataques en el futuro.
Campañas de spam de alto volumen
FIN11, además de aprovechar un mecanismo de distribución de correo electrónico malicioso de alto volumen, ha ampliado su orientación a los señuelos del idioma nativo junto con la información del remitente del correo electrónico manipulada, como los nombres para mostrar y las direcciones del remitente del correo electrónico falsificados, para que los mensajes parezcan más legítimos, con una fuerte inclinación a atacar a las organizaciones alemanas en sus campañas de 2020.
Por ejemplo, el adversario desencadenó una campaña de correo electrónico con asuntos de correo electrónico como «informe de investigación N- [número de cinco dígitos]» y «accidente de laboratorio» en enero de 2020, seguido de una segunda ola en marzo utilizando correos electrónicos de phishing con el asunto «. [nombre de la empresa farmacéutica] Hoja de cálculo de facturación 2020 YTD «.
«Las campañas de distribución de correo electrónico de alto volumen de FIN11 han evolucionado continuamente a lo largo de la historia del grupo», dijo Andy Moore, analista técnico senior de Mandiant Threat Intelligence, a The Hacker News por correo electrónico.
«Aunque no hemos verificado de forma independiente la conexión, hay informes públicos sustanciales que sugieren que hasta algún momento de 2018, FIN11 dependía en gran medida de la botnet Necurs para la distribución de malware. En particular, el tiempo de inactividad observado en la botnet Necurs se ha correspondido directamente con pausas en la actividad. atribuimos a FIN11 «.
De hecho, según la investigación de Mandiant, las operaciones de FIN11 parecen haber cesado por completo desde mediados de marzo de 2020 hasta finales de mayo de 2020, antes de recuperarse en junio a través de correos electrónicos de phishing que contienen archivos adjuntos HTML maliciosos para entregar archivos maliciosos de Microsoft Office.
Los archivos de Office, a su vez, utilizaron macros para recuperar el cuentagotas MINEDOOR y el descargador FRIENDSPEAK, que luego envió la puerta trasera MIXLABEL al dispositivo infectado.
Un cambio a la extorsión híbrida
Sin embargo, en los últimos meses, los esfuerzos de monetización de FIN11 han resultado en una serie de organizaciones infectadas por el ransomware CLOP, además de recurrir a ataques de extorsión híbridos, que combinan el ransomware con el robo de datos, en un intento por obligar a las empresas a aceptar pagos de extorsión que van desde unos cientos de miles de dólares hasta 10 millones de dólares.
«La monetización de las intrusiones por parte de FIN11 a través de ransomware y extorsión sigue una tendencia más amplia entre los actores motivados financieramente», dijo Moore.
«Las estrategias de monetización que históricamente han sido más comunes, como la implementación de malware en el punto de venta, limitan a los delincuentes a atacar a las víctimas en ciertas industrias, mientras que la distribución de ransomware puede permitir a los actores beneficiarse de una intrusión en la red de casi cualquier organización.
Esa flexibilidad, en combinación con informes cada vez más frecuentes de pagos de rescates disparados, lo convierte en un esquema extremadamente atractivo para los actores motivados financieramente «, agregó.
Es más, se supone que FIN11 ha hecho uso de una amplia variedad de herramientas (por ejemplo, FORKBEARD, SPOONBEARD y MINEDOOR) compradas en foros clandestinos, lo que dificulta la atribución o combina accidentalmente las actividades de dos grupos dispares basados en TTP o indicadores de compromiso.
Un actor de origen probable de la CEI
En cuanto a las raíces de FIN11, Mandiant afirmó con «confianza moderada» que el grupo opera desde la Comunidad de Estados Independientes (CEI) debido a la presencia de metadatos de archivos en ruso, la evitación de despliegues de CLOP en países de la CEI y la dramática caída en la actividad coincidiendo con el año nuevo ruso y el período de vacaciones de Navidad ortodoxa entre el 1 y el 8 de enero.
«Salvo algún tipo de interrupción en sus operaciones, es muy probable que FIN11 continúe atacando a las organizaciones con el objetivo de implementar ransomware y robar datos para utilizarlos en la extorsión», dijo Moore.
«Dado que el grupo ha actualizado periódicamente sus TTP para evadir las detecciones y aumentar la eficacia de sus campañas, también es probable que estos cambios incrementales continúen. Sin embargo, a pesar de estos cambios, las campañas FIN11 recientes se han basado constantemente en el uso de macros integradas en documentos de Office maliciosos para entregar sus cargas útiles «.
«Junto con otras mejores prácticas de seguridad, las organizaciones pueden minimizar el riesgo de verse comprometidas por FIN11 al capacitar a los usuarios para identificar correos electrónicos de phishing, deshabilitar las macros de Office e implementar detecciones para el descargador de FRIENDSPEAK».